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(54) Programmodul und Verfahren zum Erhohen der Slchertielt eines softwaregesteuerten 
Systems 



(57) Autgabe der Eindung ist as, die Sicherheit ai- 
nes sottwaregesteurien Systems, insbesondere eines 
eleWronischan Stellwarkes fur die Eisenbahnsignal- 
technikzu erhbhen. ohne den Aufwand der Ldsung mit 
diversltarer Software zu betreiben und ohne die VerfOg- 
barkait das Systems zu erniedrigen. Die ErTindung lost 
diese Aufgabe durch ein Programmodul und ein Verfah- 



ren, bel dem in einem ersten Schritt mittels eines ersten 
Programms aus Eingangsdaten Ausgangsdaten ermit- 
telt werden und in einem zweiten Schritt eine OberprO- 
lung nur eines Teils der Ausgangsdaten durch ein zwei- 
tes Programm durchgefuhrt wird. das gegenuber dam 
ersten Programm In einer anderen Logik und fCir eine 
andere Funktion implementiert ist. 
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Brachroibung J|k 

[0001] Die Erfindung bezieht sich^Kin Programm- 
modul und ein Verfahren zum Erhdhen der Sicherhelt 
eines Boltwaregesteuerten Systems. 
[0002] Die Sicherlieit von softwaregesteuerten Syste- 
men wird Inebesondere im Personenverlcehr gelordert. 
Dazu zahit insbesondare die Eisenbahnsignaltechnik. 
In etektronischen Stellwerken, Betriebszentraien und 
bei der Linienzugbeeinflussung eind bereite mehrere 
L6sungen zur Erhohung der Sicherhelt bekannt 
[0003] In Fig. 1 ist eine Loeungsmoglichkeit darge- 
steilt. Fig. 1 zeigt einen Rechnerverbund aus drei Rsch- 
nern. Die Rechner R1, R2, R3 sind parallel geschaltet. 
Ihre Eingange erhatten die gleichen Eingangsdaten. Ih- 
re Ausgdrtge sind mit einem Verglelcher VI verbunden. 
Der Verglelcher VI hat die Aufgabe die Ausgangsdaten 
der drei Rechner R1, R2, R3 mitelnander zu vergleh 
Chen. Stinvnen die Ausgangsdaten von mindestens 
zwei Oder zwingend alien drei Rechnem R1 . R2, R3 
Oberein, so werden Ausgabekommandos an die Ele- 
ments im Fetel generiert Anstelle in einem Vergleteher 
kannen die Rechner R1. R2, R3 Ihre Ergebnisse aiter- 
nativ auch selbst untereinander vergleichsn. Diese 
Moglichkeit deckt die in dsn Rechnem R1 , R2, R3 auf- 
tretenden Geratefehler ab, nicht |edoch falsche Pro- 
grammierung der Rechner R1 , R2, R3. da die Progranv 
me in den parallel arbeltenden Rechnem R1. R2, R3 
klentisch sind und dsshalb zum gleichen falschen Er- 
gebnls fuhren wurden. 

[0004] Eine zwelte Mdgltohkeit Ist in Fig. 2 dargestellt. 
Fig. 2 zeigt einen Rechnen^erbund aus zwei Rechnem. 
Die Rechner R3, R4 sind parallel geschaltet. Ihre Ein- 
gange erhalten die gleichen Eingangsdaten. Ihre Aus- 
gange sind mIt einem Verglelcher V2 verbunden. Der 
Verglelcher V2 hat die Aulgabe die Ausgangsdaten der 
drei Rechner R3, R4 miteinander zu vergleichen. Stim- 
men die Ausgangsdaten der Rechnem R3, R4 uberein, 
60 werden Ausgabekommandos an die Elemente im 
Feld generiert. Anstelle in einem Verglelcher k6nnen die 
Rechner R3, R4 ihre Ergebnisse alternativ auch selbst 
untereinander vergleichen. Rechner R3 und Rechner 
R4 eind mIt unterschiedllchen Softwareprogrammen 
programmiert. Diese SoftwareprogrammeerfQIIen aller- 
dings die glelche Funkllon, namlich die Ermlttlung be- 
etimmter Ausgangsdaten aus Eingangsdaten. Die Aus- 
gangsdaten enthalten z.B. Inlormatlonen Ober die Wei- 
chenlagen fur einen bestimmten Fahniveg. Diese auch 
ale diversitare Programmierung bozeichnete Losungs- 
m6gllchkelt Ist zwar bel glelcher Qualltat der einzelnen 
Programmpakete sichersr. jedoch ist erstens der Erstel- 
lungsaufwand fOr zwei unterschledllche Softwarepake- 
te gleichen Umfangs und glelcher Leistungsfahigkeit 
sehrhoch. Zum anderenfOhren gerlnge Ungieichhelien 
zu Fehlvergleichen und damit zu Fehlfunkilonen Oder 
sogar Stillstand des gesamten Stellwerksystems. 
[0005] Aufgabe der Eindung ist es. die Sicherhelt ei- 
nes eieklronischen Systems zu erhohen, ohne den Auf- 



wand der Losung mit diver^^er Software zu betreiben 
und ohnedie VerfOgbarke^K»ystemszu emiedrigen. 
[QOOG] Geldst wird diemnufgabe dureh sin Pro- 
grammodul nach Anspruch 1 und eIn Verfahren nach 

5 Anspruch 9. Das Programmodul ist insbesondere da- 
durch gekennzeichnet. daB es einen ersten und einen 
zweiten Progfammteil belnhaltet, die in unterschiedli- 
cher Logik und fur unterschiedliche Funktionen imple- 
mentlert sind, wobei der erste Programmtell als ausfOh- 

10 rendes Programm ausgelegt ist und geeignet ist, aus 
einer Anzahl von Eingangsdaten eine Anzahl von Aus- 
gangsdaten zu ermittein und der zweite Programmteil 
als kontroiiierendes Programm ausgelegt ist und geeig- 
net Ist, nur Telle der Ausgangsdaten zu Oberprufen. Das 

IS erfindungsgemaBe Programmodul arbsitst ssquentiell. 
Das Progrannmodul Ist Insbesondere geeignet fur den 
Einsatz in einem elektronischen Slellwerk, einer Be- 
trlebszentrale und bei der Linienzugbeeinflussung. Die 
Sicherhelt eines Stellwerkes Ist nie absolut. Die Rate 

20 der unsichsren Zustande mu3 aber hinreichend gering 
sein. Die Fehlewermeldung mul3 deshalbauch nicht ab- 
solut sein, sondem sie mu3 einen hohen Prozentsatz 
der auttretenden gefahrlichen Fehler abdecken. Aus 
disssm Grund soil vsrmisdsn wsrden, das zweite diver- 
ts sitare Sottwarepaket. d.h. den zweiten Programmteil, so 
umfangsreteh zu machen, daB er alle Funktionen des 
ersten Programmtsils ObsrprOft. Zur Erreichung eines 
hohen Sicherheltsstandards ist es ausrelchend, die 
wichtigsten Funktionen zu flberprufen. die im Fehlerfall 

30 unfalltrachtige SRuatbnen heraufbeschwdren. Selten 
vorkommende Betriebssltuationen, die einen hohen 
Programmieraufwand erfordsm und nur wenig zur Un- 
tallwahrschelnlichkeit beitragen, sollen bel dem zweiten 
Programmteil nicht berucksichtigt werden. Der zweite 

3S Programnnteil Ist auf die wesentlichen Grundf unktlonen 
der Stellwerkstechnik be^hrankt. So sntfallt auch das 
zeit- und kostenautwendige Anpassen auf die lande- 
speztnschen Gegebenheiten. Die elementaren Grund- 
funktionsn sinss Stsllwsrkes sind in alien Landsm 

^ glelch. Dies ermdgllcht einen ausrelchenden Schutz ge- 
gsn Fshlsr bsi der Sottwareerstellung und der Projek- 
tierung. Der Aufwand fflr den zweiten Progranrvnteil be- 
schrfinkt sich belspletewelse auf zehn Prozent des ge- 
samten Software-Ersteliungsaulwands und ist zudem 

45 nteht landerspezlRsch, so daB er nur einmallg erstellt 
werden muB. 

[0007] Die beiden Programmteile, der erste, ausfOh- 
rende Programmteil und der zwsite. kontrollierendo 
Programmteil sind unterschiedlich erstellt. Der erste 

so Progranrinnrteii ist vortellhaftenveise In Tabellenlogik er- 
stellt, der zweite Programmteil vorteilhaftenwaiss in 
Spurplanlogik. Die beiden Programmteile laufen se- 
quentisll ab. Dsr kontrolliersnde Programmteil QbeiprQft 
die Rtehtigkelt eines Tells der Ergebnisses des ausfOh- 

ss renden Programmtells. Es Ist Aufgabe des ausfOhren- 
dsn Progranrvnteiis bei der Einstellung einer FahrstraBs 
die Zuldsslgkelt zu prOfen und die Elemente alle In die 
richtige Position zu bringen. AnschlieBend ist die Auf- 
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gabe des ausf Qhrenden Programmte^^geschloseen 
und erObergibtdie Bereitschaltzur d^K) des Signals 
auf Fahrl an den kontrollierenden Pr^ffnmteil. Dieser 
OberprOft aul vortellhafte Art und Welse beginnend belm 
Zelsignal, ob auf dem einzustellenden Fahnweg keine 
Belegungen sind und ob die Welclien In der richtigen 
Stellung llegen. Dazu kann nach dem Spurplanprlnzip 
vom Zieisignal entsprechend der Gleistopologle und 
den Weichenstellungen bis zum Startsignal zurCclcge- 
gangen warden. Beim richtigan Erreichen das Starlsi- 
gnals wird die Erlaubnis zu dessen Fahrtsteliung gege- 
ben. 

[0008] Die beschriebane untersta Stufa der Oberpru- 
tung, namlich nurderBeiegung undder Weicheniagen, 
let in jedenn denitbaren Stellwerkslconzept identisch. 
DarOber hinausgeliende FunktionalitSten konnten zum 
Tali landerspazifisch sein, was bei der praklischen Aus- 
fflhrung zu pruten isL Enveiterungen dieses Grundge- 
danken kennten sein: ObetprOfung der Fesllegung der 
Waichen des Fahnwegas. Uberprufung der Geschwin- 
digkeiten des Falinweges und Minimumblldung zur Kon- 
trolle des richtigen Geschwindigkeitsbegrilfs am Start- 
signal, OberprOfung sonstlger Fahnwegelemente wie z. 
B. des Geschlossenseins von Bahnubergangen. 
[0009] OberprOfung von Elementan. die nksht im Fahr- 
weg liegen, ist beim kontrollierenden Programmtell nichi 
vorgesehen. So sind z.B. die Steliungen der Flanken- 
schutzweichen nicht zu uberprOlen. Damit laBt sich 
zwar niclit eine vollstandige Abdeckung von Fehlarn 
des ausf uhrenden Programmteiis und damit kelne voll- 
standige Unlallvenneidung erreichen, die Wahrscheln- 
lichkeit fur soiche Unfalla ist jedoch sehr gering, da nur 
die Komblnation aus Fehler im auslOhrenden Pro- 
grammtell. Fahren eines zweiten Zugas und slgnalwid- 
rlges Verhalten des zweiten Zugee zu einer GefShrdung 
fQhren konnte. 

[0010] Auf diese Art und Weise ist as mdglich den 
kontrollierenden Programmtell einfach und autwands- 
arm zu gestalten. Die beiden Programmteile konnen se- 
quentlell Im glelchen Rechner ablaufen. Der Erstek 
lungsaufwand ist insbesondere fOr den zweiten Pro- 
grammtell gering, da eine landerspezifischeAnpassung 
aul Qrund der in alien t-Sndem glelchen Stellwerkslunk- 
tion entfallt. 

[0011] Die Erfindung offenbart somll auch ein Verfah- 
ren zum Erhohen der Sicherhoit eines softwaregesteu- 
erten Systems, bei dem in einem ersten Schritt mittels 
eines ersten Progtamms aus Eingangsdaten Aus- 
gangsdaten ermittell warden und in ehem zweiten 
Schritt eine Uberprutung nur eines Tells der Ausgangs- 
daten durch ein zweiles Programm durchgefuhrt wird, 
das gegenOber dem ersten Programm In einer anderen 
Logik und fQr eine andere Funktion implement iert ist. 
p012] Der erste und/oder der zwelte Programmteil 
des Programmoduls kdnnen auf einem Speichermedi- 
um abgespeichert werden. Als Speichermedium kann 
ein Datentrdger, wIe Diskette, Magnetbandoderderglel- 
chen verwendet werden. 



[001 3] Zwei AusfOhrung^^piela der Erfindung war- 
den im folgenden unter Zu^Mhme der FIguren 3 und 
4 eriautert. Es zeigen: 

5 Fig. 3 eine schematische Darstetlung eines ersten 
erfindungsgemSBen Rechnenferbundes fQr 
ein elektronisches Stellwerk und 

Fig, 4 eine schennatische Darstetlung eines zweiten 
10 erfindungsgemaBen Rechnerverbundes fQr 

ein elektronisches Stellwerk. 

[001 4] Das erste Ausf Qhrnngsbeispiel wird nun unter 
Zuhillenahme von Fig. 3 eriautert Fig. 3zelgteinen er- 

is findungsgemaSen Rechnewerbund eines elektroni- 
schen Stellwerkes. Der Rechnewerbund beinhaltet 
zwei Rechner R6 und R7. Aul dem Rechner R6 ist ein 
erster Programmtell eines Programmoduls Installlert. 
Aul dem Rechner R7 Ist ein zweiter Programmrteil des 

20 Programmoduls installiert. Der erste Programmteil ist in 
Tabellenloglk implementiert. der zwelte In Spurplank)- 
gik. Der erste Programmteil dient als austOhrendes Pro- 
gramm, der zwelte als kontroillerendes Programm. Bel- 
da Programmteile laufen sequentieli ab, zunachst das 

2S ausfQhrands, anschlieBend das kontrolliarende. Der 
Rechnen/erbund erhSlt Eln^gsdaten aus denen er 
Ausgangsdaten ennitlBln soli. Die Eingangsdaten ent- 
halten beispielswelse Start- und Zielpunk! eines Zuges, 
den gewQnschten Fahnweg sowie gewQnschte Startbe- 

30 dingungen. Aulgabe des Rechnenrarbundes Ist es, el- 
nen mdglk^hst sicheren Fahniveg fOr den Zug zu ermit- 
teln. Die Ausgangsdaten enthaiten beispielswelse 
Startbedlngungen, Weichenstellungen, BahnObergang- 
schlieBungen, Flankenschutzwaichenstetlungen, Ge- 

3S schwindlgkelten tOr den freizugebenden FahnA^g. 
[0015] Die Eingangsdaten warden Rechner R6 zuge- 
IQhrt, der den kompletten Satz der Fahnwegdaten ermit- 
telt. Diese werden Rechner R7 zugelflhrt, der nur einen 
Teil dieser Daten QberprOft. Rechner H7 QberprQfl nur 

40 die hauptsSchlichen. im Fehlertall unfalltr&chtlgen Da- 
ton. Rechner R7 Oberprflit beispielsweise lediglich die 
Weichenstellungen und die Belegungen des Fahnive- 
ges. Dazu venwendet Rechner R7 das Spurplanprinzlp. 
Ausgehend vom Zlelpunkt werden die Weichenstellun- 

4s gen entsprechend der Glelstopologle bis zum Start- 
punkl des Zuges zurflckverfolgt. Beim richtigen En^ei- 
chen des Startpunktes wird die Eriaubnis tOr den ermit- 
tellen Fahnweg gegeben. Die Ausgangsdaten warden 
zu den Elementen im FekJ flbertragen. 

so [0016] Anstelle eines Rechnen/erbundes mit zwei 
Rechnem kann altemativ auch nur ein Rechner vorge- 
sehen sein, auf dem dann bekJe Programmteile, d.h. 
das gesamte Programmodul, installiert sind. 
[001 7] Das zweite AustOhrungsbeispiel wird nun un- 

ss ter Zuhillenahme von Fijg. 4 erifiutert. Fig. 4 zelgt einen 
erfindungsgemaBen Rechnen^eibund. Der Rechner- 
verbund beinhaltet vier Rechner F», R9, RIO. R11 und 
einen Vergleicher Va D\a Rechner RB und R9 sind in 
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Reihe geschattet. Aufgabe und Fu^j^n der Rechner 
R6 und R9 entsprechen dem AufdHBd der Funktion 
der Rechner R6 und R7 aus Fig.'^We Rechner RIO 
und R1 1 sind In Reihe geschaltet. Aufgabe und Funktion 6. 
der Rechner R1 0 und R1 1 entsprechen dem Aufbau und 5 
der Funktion der Rechner R6 und R7 aus Fig. 3. Die 
Rechner RIO und R11 sInd den Rechnem RB und R9 
parallel geschaltet Auf den Rechnern RB und RIO ist 
Jewells der ersie Programnrrteil des erflndungsgenn^en 6. 
Programmoduls installierL Auf den Rechnem R9 und 10 
R1 1 ist Jewells der zwelte Programnrrteil des erf Indungs- 
gemaOen Programmoduls installiert. Beide Rechner R8 
und R10 erhalten die gleichen Eingangsdaten, aus de- 
nen mittels der gletohen Software die gleichen Aus- 
gangsdaten ermitleft warden. Die Ausgangsdaten des »5 
Rechners R8 werden im Rechner R9 OberprOft, die Aus- 
gangsdaten das Rechners R10 im Rechner R11. Zu- 
satzlich werden die Ausgangsdaten der Rechner R9 
undRII ImVergleicherVa OberprOft. NurwenndieAus- 7. 
gangsdaten der Rechner R9 und R11 Qbereinstimmen 20 
wird der Fahnveg frelgeschaltet. Dadurch wird eine er- 
hohte Sicherheit erreichl. So konnen z.B. auch Gerate- 
fehler in einem der Rechner R8 bis R11 entdeckt wer- 
den. 

[00181 Anstelie des Vergleichsrs V3 konnen die ^ 
Rechner R9 und R11 Ihre Ausgangsdaten selbst unter- 
einander vergleichan. 



sprechenden Weichej 
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1. Progranunmodul beinhaltend einen ersten und ei- 
nen zwelten Progrannmtell, die In unlerschledlteher 

Logik und fur unterschiedliche Funktionen imple- 9. 
mentiert sInd. wobel der erste Programmteil als ^ 
ausfuhrendes Programm ausgelegt ist und geoig- 
net ist. aus einer Anzahl von Eingangsdaten eine 
Anzahl von Ausgangsdaten zu emnittein und der 
zweite Programmteil als kontrollierendes Pro- 
gramm ausgelegt Ist und geeignet ist, nur Telle der ^ 
Ausgangsdaten zu Qbarprufen. 

2. Programmmodul nach Anspruch 1, dadurch ge- 
kennzeichnet, daO dor erste Programmteil in Tabel- 
lenloglk und der zwelte Programnttell In Spurplan- « 
logik implementisrt ist. 

3. Programmmodul nach Anspruch 1. dadurch ge- 
kennzeichnet, daB der zweite Programmteil geeig- 
net Ist, die OberprOfung der Telle der Ausgangsda- so 
ten durch Ermittlung der entsprechendan Ein- 
gangsdaten aus diesen Ausgangsdaten durchzu- 
fQhren. 

4. Programmmodul nach Anspruch 1, dadurch ge- 
kennzeiohnet. daS der zweite Programmteil geeig- 
net Ist, zu uberpruten, ob auf einem einzustellenden 
Fahrweg koine Belegungen sind und ob dio ent- 



leomd* 



der richtigen Stellung ste- 



Rechner (R6, R7, R8. R9. R10. R11) eines elektro- 
nischen Stellwerkes. beinhaltend den ersten und/ 
Oder den zwelten Programmteil des Programmmo- 
duls nach Anspnich 1. 

Rechnerverbund eInes elektronlschen Stellwerkes 
Oder einer Betriebszentrale, beinhaltend ein Pro- 
grammmodul nach Anspruch 1, dadurch gekenn- 
zoichnet. daB der Rechnerverbund mHideslens 
zwei Rechner aufweist, daB der erste Programmteil 
auf einem ersten Rechner (R6, R8) und der zwelte 
Programmteil auf einem zwoiten Rechner (R7, R9) 
Installiert Ist, und daB der zweite Rechner (R7, R9) 
dem ersten Rechner (R6, R8) nachgeschaltet ist. 

Rechnen^erbund nach Anspruch 6, dadurch ge- 
kennzoichnet, daB der erste Programmteil zusatz- 
llch auf einem dritten Rechner (R1 0) und der zwelte 
Programmteii zusatzlich auf einem vierten Rechner 
(R11) Installiert 1st. daB der vierte Rechner (Rit) 
dem dritten Rechnor (RIO) nachgeschaltet ist, und 
daB der dritte (RIO) und dor vierte Rechnor (R11) 
dem ersten (R8) und zweiten Rechner (R9) parallel 
geschaltet ist. 

Spoidiormodium, dadurch gokennzeichnet, das 
auf dem Speichemiedlum der erste und/oder der 
zweite Programmteil des Programmoduls nach An- 
spruch 1 abgespeichort ist. 

Verfahren zum Erhohon dor Sicherheit eines soft- 
waregesteuerten Systems, bei dem in einem ersten 
Schritt mittels eines ersten Programms aus Ein- 
gangsdaten Ausgangsdaten ormittolt warden und in 
einem zweiten Schritt eine OberprOfung nur eines 
Toils dor Ausgangsdaten durch ein zweites Pro- 
gramm durchgefuhrt wird, das gegenuber dem er- 
sten Programm in einer andoren Ijogik und fOr eine 
andere Funktton Impiementiert Ist. 
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